Eindeutige Computer-SIDs unwichtig?

Eine Antwort auf Mark Russinovich – oder: Debunking the Myth Debunking

Wie schon so oft wirft Mark Russinovich Diskussionsstoff im Windows-Bereich auf. Mit der Aussage, die Einzigartigkeit der von Computer-SIDs sei in einer Domäne nicht von Bedeutung, hat er dieses wieder einmal geschafft. Allerdings ist es wichtig zu berücksichtigen, worauf sich seine Einordnung bezieht. Daher fasst dieser Artikel einige Aspekte zusammen.

Mark Russinovich hat sich in einem Blog-Artikel zu der Thematik geäußert, ob Computer-SIDs innerhalb oder außerhalb einer Windows-Domäne eindeutig sein müssen. Kurz gefasst, behauptet er, dass dies nicht der Fall sein müsse. Nachlesen sollte man das hier:

[Mark's Blog : The Machine SID Duplication Myth]
http://blogs.technet.com/markrussinovich/archive/2009/11/03/3291024.aspx

Unmittelbar nach der Veröffentlichung brach ein Sturm der Entrüstung aus – gut ablesbar an den vielen Kommentaren zu dem Artikel. Die Erfahrung vieler Admins zeigt, dass es eben doch Abhängigkeiten zu einer eindeutigen Computer-SID gibt. In der Folge ruderte Mark daher ein Stück zurück (die Fassung des Artikels, die jetzt auf seinem Blog steht, unterscheidet sich an vielen Stellen vom ursprünglichen Text – vor allem der vorletzte Absatz beginnend mit “The final case …”).

Im Kern stellt Mark die Wichtigkeit der Domänen-SID der Maschine dar, welche unterschiedlich zu der lokalen Computer-SID ist. Beide SIDs haben auch nichts miteinander zu tun. Siehe ebenfalls folgenden Artikel darüber:

[Aaron Margosis' "Non-Admin" and App-Compat WebLog : Machine SIDs and Domain SIDs]
http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx

Verschiedene Services und Applikationen sind aber wohl doch abhängig von der SID. Dieses wurde in Foren und Newsgroups schon mehrfach durch den Rat bewiesen, einfach bei geklonten Maschinen unter anderem die Computer-SID mit Sysprep, dem einzigen von Microsoft unterstützten Tool, zu ändern – wonach die bestehenden Probleme gelöst waren.

[The Microsoft policy for disk duplication of Windows installations]
http://support.microsoft.com/kb/314828/en-us

Folgende Microsoft-Produkte zeigen zumindest in bestimmten Situationen Abhängigkeiten von siner eindeutigen SID:

• SCCM (System Center Configuration Manager)
• SMS (Systems Management Server)
• KMS (Key Management Service)
  abhängig von der Client Machine ID (CMID), welche ebenfalls mit sysprep verändert wird und somit meiner Meinung nach hier zum Tragen kommt, auch wenn die SID nicht betroffen ist, siehe auch (http://blogs.technet.com/askcore/archive/2009/10/16/kms-host-client-count-not-increasing-due-to-duplicate-cmid-s.aspx)
• Gruppenrichtlinien

Drittanbieter-Tools sind ebenfalls betroffen, wenn man den Blog-Einträgen folgt:

• Quest Migration Manager (www.quest.com)
• Symantec AV (www.symantec.com)

WSUS habe ich nicht mitgelistet, da die SUSClientID der entscheidende Faktor ist und diese beim Benutzen von sysprep nicht gelöscht wird (http://support.microsoft.com/kb/903262).

Als klares Statement von Mark geht allerdings auch hervor, dass Computer-Klone die nicht mit sysprep bearbeitet werden, NICHT von Microsoft supported werden, womit meiner Meinung die wichtigste Aussage getätigt ist.